Messages

Moin Reiner,

Danke für Deine Antwort. Die Links waren sehr hilfreich. Ich suche auch selber mit google & co, aber es hält mich auf, wenn ich beim Lesen auch entscheiden, ob das aktuelle Dokument unverständlich oder an meinen Anforderungen vorbei geht. Danke für Deine gelungene Vorauswahl.

So wie ich die IPv6 Literatur verstanden habe, sollte es bei IPv6 kein NAT geben. Die jeweils beteiligten Rechner sollen direkt miteinander Daten austauschen, ohne dass Adressen umgesetzt werden. Das wirft bei mir die Frage auf, wie ich für einzelne Rechner einen (IPv6)-Alias vergeben kann, den ich in Regeln der Firewall nutzen kann.

Ein Interface hat doch mehrere IPv6-Adressen: die link-lokale, eine vom DHCPv6, eine per privacy extension ... oder so. Welche von denen kann ich für einen Alias nutzen?

Leider hat mein Provider mir noch nicht mitgeteilt, wie groß die IPv6-Präfixlänge sein wird. Nehmen wir für die folgenden Überlegungen an, dass ich eine Präfixlänge von 48 Bit bekomme. Das heißt doch, dass ich 16 Bit, also zwei hoch 16 Netze hinter der Fritzbox betreiben kann.

Im meinen Netzwerkplan habe ich sechs IPv4 Netze aufgezählt, so dass ich mit acht IPv6 Netzen auskommen sollte. Was würde ein erfahrener Netzwerkadministrator in so einer Situation machen?

• Die gesamte Breite an den OPNsense Router weiterreichen?
  Also die Präfixlänge von 49 Bit.
• Nur den möglichst kleinsten Teil, also drei Bit (Präfixlänge 61) an den OPNsense Router weiterreichen?
• Oder eine Präfixlänge zwischen den beiden Extremen?

Wie viel Aufwand ist zu erwarten, wenn ich die Präfixlänge ändern muss?

Noch eine grundsätzliche Frage: Von meinem Provider bekomme ich eine öffentlich IPv6-Adresse und eine private IPv4-Adresse. Soll ich in meinem OPNsense Router IPv4-Adressen verarbeiten? Muss ich das machen, für System im Internet, die keine IPv6-Adressen haben? Oder nutzt mir die private IPv4-Adresse nichts, weil IPv4-Antwortpakete gar nicht zu meiner Fritzbox zurückfinden? Falls das so sein sollte, ist es dann nicht sinnvoll, gleich alle IPv4-Regeln und IPv4-Services (DHCP, ...) zu entsorgen?

Gruß
Thomas

Moin,

Mein aktuelles Netzwerk sieht so aus:

Code Select Expand


Internet - DSL                                               
                                                             
       |                                                     
+------+------+                                               
|             |                                               
|  Fritz!Box  |  DECT Telefonie                               
|             +----------------------------                   
+------+------+                                               
       |                                                     
       |                                                     
       | WAN: 192.168.178.0/24                               
       |                                                     
       |                                                     
+------+------+                                               
|             |  LAN: 192.168.148.0/24                       
|   Router    +-----------------------------                 
|             |                                               
|  OPNsense   |  DMZ: 192.168.147.0/24                       
|             +-----------------------------                 
+------+------+                                               
       |                                                     
       |                                                     
       |                                                     
       |                                                     
       |  WLAN_Base:   192.168.130.0/24                       
       |  WLAN_Admin:  192.168.131.0/24  VLAN 10             
       |  WLAN_Intern: 192.168.132.0/24  VLAN 100             
       |  WLAN_Guest:  192.168.133.0/24  VLAN 200             
       |                                                     
       |                                    +----------------+
       |                                    |                |
       +------------------------------------+  Access Point  |
                                            |                |
                                            +----------------+


Wie im Diagramm zu sehen ist, habe ich mich bisher nicht um IPv6 gekümmert.

Was habe ich eingerichtet:

• Alle Systeme im LAN kommen überall hin
• Alle Systeme in der DMZ kommen nur ins Internet
• Alle Systeme in WLAN_Intern kommen überall hin
• Alle Systeme in WLAN_Guest kommen nur ins Internet
• WLAN_Base war nur zur Konfiguration des Access Points aktiv
• WLAN_Admin wird zur Konfiguration des Access Points genutzt
• Einige Services (DNS & NTP) werden nur vom Router versorgt
• Auf die Systeme in der DMZ kann vom Internet aus zugegriffen werden (Portforwarding)
• Es Portforwarding-Regeln, die ich aktivieren kann, damit aus dem Internet auf meinen Spiele-PC im LAN zugegriffen werden kann.

Demnächst wird mein Internetzugang auf Glasfaser umgestellt. Damit bekomme ich keine öffentliche IPv4 Adresse mehr, sondern nur eine öffentliche IPv6 Adresse.

Das heißt ich muss mich mit IPv6 auseinandersetzen.

Unter https://danrl.com/ipv6/ habe ich ein grundsätzliche Erklärung gefunden. Könnt Ihr ähnliche Dokumente, am besten auf Deutsch, zum Lesen empfehlen.

Mit der IPv6-Einführung in meinem Netzwerk möchte ich den aktuellen Status erhalten:

• Alle Systeme sollen nicht über eine langlebige und eindeutige IPv6 Adresse zu tracken sein.
• Die bestehende Netzwerk-Topologie soll so weiter bestehen bleiben. Es sei denn, da gibt es einen groben Fehler.

Zu IPv6 habe ich folgende Fragen:

• Was sind die Schlüsselbegriffe auf die ich achten soll?


• Welche Details sollte ich anstreben oder implementieren?
• Was sollte ich auf keinen Fall probieren?
• Welche Fallstricke sollte ich meiden?
• Für IPv4 habe ich DynDNS genutzt, um die Adresse meines Servers in der DMZ zu veröffentlichen. Wie geht mit IPv6?

Ich danke im Voraus für Eure Unterstützung.

Falls das Thema die Diskussion hier zu komplex ist, bin ich auch bereit für eine persönliche Beratung/Umsetzung Geld auszugeben.

Gruß
Thomas

Moin, moin,

Letztes Mal wurde die Video-Konferenz um eine Woche vorverlegt und heute war um 17:11 keine Konferenz (mehr) aktiv.

Das finde ich schade. Ich werde mich freuen, wenn die Usergroup weitergeht.

Liebe Grüße
Thomas

Moin, moin Thera,

Ich habe Dich so verstanden, dass Du in einer VM eine OPNsense mit einem Server dahinter aufbauen willst und das ganze mehrfach, damit Deine Kunden die virtuellen Maschinen mit "nach Hause" nehmen können, wenn der Test erfolgreich war.

Mein Idee dazu: Du solltest zwischen der Fritz!Box und den virtuellen Maschinen einen Router (OPNsense) schalten, der als exposed Host in der Fritz!Box eingetragen wird. Darin konfigurierst Du die verschiedenen "Internet Netze" die in die virtuellen Maschinen laufen (siehe Bild). Ob Du für den ersten Router hinter der Fritz!Box ein Gerät mit entsprechend viele Interface wählst oder die "Interface Vermehrung" durch einen Managed Switch erledigst, der die VLANs des Routers auf unterschiedliche Kabel legt, ist eher eine Kostenfrage.

Gruß
Thomas

Hallo Meditux,

Ich habe die Regeln nach Deinem Vorbild angepasst (siehe Anlage). Zusätzlich habe ich meine Filterregeln für die DMZ und das LAN beigefügt.

Im LAN ist quasi alles erlaubt.

In der DMZ wird DNS und NTP (Alias Central_Port_Service = 53, 123) nur zum Router zugelassen. Alle anderen Ziele werden geblockt.

Gruß
Thomas

Moin, moin,

Ich habe zwei Ubuntu Server, die jeweils ihre Zeit per NTP von ntp.ubuntu.com holen wollen.

So als Übung für Geräte die ich nicht konfigurieren kann, habe ich jeweils eine Portweiterleitung eingestellt (die letzten beiden Zeilen in ersten Bild).

Für beide Regeln habe ich zu Testzwecken das Logging aktiviert.

Mich wundert jetzt die Beschriftung im Log:

• 
  Die Pakete am DMZ Interface sehen fast gut aus: Anstatt "Redirect central services to router" wird "rdr rule" angezeigt.
  
• 
  Die Pakete am LAN Interface sehen doof aus: Anstatt "Redirect central services to router" wird "Default deny rule" angezeigt.
  

Dementsprechend bin ich verwirrt. Habe ich die Umleitung auf meinen Router richtig eingestellt und nur die Anzeige im Live-Log "spinnt"? Funktioniert das jetzt?

Im dritten Bild sind die Details eine Umleitung zu sehen.

Versionen:
OPNsense 21.1.8_1-amd64
FreeBSD 12.1-RELEASE-p19-HBSD
OpenSSL 1.1.1k 25 Mar 2021

Soll ich dafür eine Ticket aufmachen?

Gruß
Thomas

Moin, moin,

Mein Access Point wurde gestern geliefert  :)

Gruß
Thomas

Moin, moin,

Erst einmal herzlichen Dank an alle für Eure vielen Tipps.

Danke auch für die Links mit den Installationsanleitungen.

Keine Ahnung ob ich hier nen Link Posten darf, benutzte aber vmware google einfach mal ,,jpaul unifi controller vmware" läuft bei mir schon ein paar Jahre stabil und absolut stressfrei. Aktualisiere jhalt regelmäßig und das war es.

Leider gibt es das Image nicht mehr zum Download. Ich werden wohl ein ARCH Linux in einer VM aufsetzen (im DHCP eine "fest" IP zu ordnen) und dort den UniFi Controller betreiben.

Zum Linux based Controller.
...
Beim erst einrichten dann drauf achten kein Cloud Konto zu machen. Das ist so gemacht wie bei Microsoft. Cloud Konto ist ganz dick und lokal ein bissel versteckt. Sie fragen inzwischen ob Sie Analysedaten senden dürfen. Da natürlich nein klicken.

Auch dafür Danke, das habe ich nicht gewusst und werde suchen wo ich mir das Konto lokal einrichten kann.

Mit dem Blocken des Verkehrs geht es mir hauptsächlich um zwei Punkte:

• 
  Ich möchte die Hardware im Zweifelsfall auch ohne Cloud/Internet in Betrieb nehmen können. So weit ich es verstanden habe, geht das zum Beispiel bei Aruba nicht.
  
• 
  Ich möchte meine Geräte möglichst datensparsam betreiben. Das die Seriennummern auf dem Vertriebsweg meinem Konto zugeordnet werden finde ich grenzwertig. Das alle Betriebsdaten zu Ubiquiti gefunkt werden, halte ich persönlich für inakzeptabel. Als Netzwerkadministrator in einer Firma würde ich mich eher an die Firmenrichtlinien halten und dort geht es ja auch um Kosten. Wenn "alle Daten" bei Ubiquiti liegen, dann können die auch schneller einen Fehler finden.
  

Auf jeden Fall habe ich jetzt ein gutes Gefühl, dass die Inbetriebnahme gut laufen wird.

Gruß
Thomas

Moin, moin aeschma,

Danke für den Tipp mit der Linux-VM? Welches Image nutzt Du? Wo kann ich das herunter laden?

Die VM braucht eine statische IP, wenn ich das richtig verstanden habe. Da bedeutet doch, dass ich das Netzwerkinterface in der VM als Bridge betreiben muss, oder?

Die Regeln: Sind am jeweilige Interface angehängt, blocken alles was von der IP-Adresse (Access Point, UniFi-Controller) kommt und nicht zur Adresse des Interfaces will. Den UniFi-Controller eher nicht blocken, damit die Updates gezogen werden können.

Muss ich mich/die Geräte bei Ubiquiti registrieren, damit die Geräte starten/konfigurierbar sind?

Gruß
Thomas

Moin, moin,

In der beigefügten Skizze habe ich aufgezeichnet, wie ich mein Netzwerk gestalten will. Die Verbindung zwischen Router (OPNsense) und Access Point soll durch VLANs erreicht werden.

Wenn ich es richtig verstanden habe, benötige ich den UniFi-Controller (für Windows aktuell unter), um den Access Point einzurichten. Die Windows Software plane ich auf einer virtuellen Maschine zu installieren, damit ich sie nach der Konfiguration einfach entsorgen oder neu aufspielen kann und meinen Arbeitsrechner "sauber" zu halten.

Was kann/sollte ich einrichten, um sowohl den UniFi-Controller und auch den Access Point am "nach Hause telefonieren" zu hindern? Wie macht Ihr das?

Gruß
Thomas

Moin, moin inkasso,

In meinem Browser arbeite ich mit der Erweiterung NoScript, um JavaScirpt pro Domain zu sperren.

Da sehe ich häufiger leere Seiten, wenn ich xyz.com aufrufe. Wenn ich die Scripte für xyz.com aktiviere, bleibt die Seite häufig weiterhin leer. In NoScript taucht dann häufig ein neue Domain auf, die ich freigeben muss. Je nach Seit klappt das oder ich muss alle Domains in diesem Browser-Reiter zulassen.

Damit will ich sagen, dass die Inhalte nicht nur von der Domain Deiner Apotheke kommen mpüssen, sondern eventuell auch von ganz anderen Domains (nicht unbedingt Sub-Domains der Apotheke). Falls diese Domains mit den Inhalten geblockt werden, kann Deine Apotheken-Seite nicht richtig angezeigt werden.

Gruß
Thomas

Moin, moin,

Ich habe privat ein scope7-6907 "bei" Landitec bekommen. Mit den Menschen telefoniert und gesagt dass ich Privatkunde bin. Dann habe die mich "weiter vermittelt".

Der Verkauf wurde letztendlich durch

ISR-NETCOM GmbH
Süedfeld 9C
DE-59174 Kamen
+49 2307 91 47 40 5

abgewickelt.

Ich kann nicht sagen, ob ich ein Ausnahme bin oder das häufiger so läuft. Landitec selbst handelt meines Wissens nur mit Firmen.

Gruß
Thomas

Moin, moin,

Habe mir jetzt ein Unifi U6 Lite direkt bei Ubiquiti bestellt. Man sehen wie lange die Lieferung dauert.

Gruß
Thomas

Moin, moin, Shihatsu,

Wenn sich ein Thread aus meiner Sicht gelöst hat, melde ich mich an und ändere das Subject des ersten Beitrags im Thread.

Gruß
Thomas

[Unifi U6 Lite]

Moin, moin,

Ich habe das Thema allgemeiner in Thread schon gefragt. Leider ist der Unifi U6 Lite aktuell nicht erhältlich (Lieferzeit etwa 7 Wochen). Ich habe keinen Händler in Deutschland gefunden  :(

Daraufhin habe ich mir einen Aruba AP 22 (R4W02A) beschafft und stelle fest, dass diese Gerät nur mit der Hersteller-Cloud funktioniert. Ich werde versuchen, das Gerät zurück zu geben.

Wenn ich es richtig mitbekommen habe, scheiden Geräte von Netgear aus, weil sie sehr viel "nach Hause telefonieren".

Meine Wohnung ist 80 Quadratmeter groß, so dass ich davon ausgehe, dass ich die Abdeckung mit einem Access Point hinbekomme. Ich gehe davon aus, dass im WLAN niemals mehr als 20 Geräte betrieben werden. Der Einsatz ist klar begrenzt auf:

• private Nutzung
• maximal 100 Quadratmeter
• maximal 20 WLAN-Nutzer

Meine Anforderungen/Wünsche/Ausschlusskriterien an einen Access Point sind:

• 
  hohe Zuverlässigkeit
  
• 
  GBit Port
  
• 
  WiFi 5
  
• 
  sehr gerne: WiFi 6
  
• 
  WPA3
  
• 
  2,4 GHz und 5 GHz
  
• 
  Web Interface zur Konfiguration
  
• 
  Multi SSID
  
• 
  VLAN Unterstützung
  
• 
  optional: Power over Ethernet
  
• 
  OHNE Cloud-Zwang
  
• 
  OHNE Handy-Zwang
  

Kennt jemand Alternativen zu den oben genannten Geräten, die ich als Privatperson vor Mitte September geliefert bekommen kann?

Gruß
Thomas